|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
| Fuga de información en redes Ethernet | ||
|---|---|---|
VSantivirus No. 919 - Año 7 - Domingo 12 de enero de 2003 Fuga de información en redes Ethernet http://www.vsantivirus.com/vul-ethernet.htm Nombre: Fuga de información en redes Ethernet Fecha: 6/ene/2003 Aplicación: Drivers para tarjetas con protocolo Ethernet Plataformas: Múltiples Severidad: Acceso a información Autores: Ofir Arkin <ofir@sys-security.com>, Josh Anderson Vendor Status: Múltiples vendedores alertados vía CERT Referencia: http://www.kb.cert.org/vuls/id/412115 Los drivers para tarjeta de red con protocolo Ethernet (Network Interface Card, NIC), manejan en forma incorrecta algunos parámetros, lo que puede permitir a un atacante visualizar trozos de paquetes previamente transmitidos, o porciones de la memoria del kernel. Esta vulnerabilidad es el resultado de una incorrecta implementación de los requerimientos sugeridos en las RFC (Request For Comments, la documentación sobre estándares de Internet), sumado a malas prácticas de programación. Un ataque simple haciendo uso de esta debilidad, permite el envío de paquetes ICMP (Protocolo de mensajes de control de Internet) para generar mensajes de error, paquetes de prueba y mensajes informativos relacionados con los IP. En forma básica, esto se utiliza para comprobar la existencia de la computadora consultada. Pero si se envían paquetes ICMP a una máquina con los drivers para el protocolo Ethernet de la tarjeta con errores, porciones de la memoria del kernel (el corazón de Windows), son reenviados al atacante. Durante las pruebas, se pudo comprobar que los trozos recibidos son típicamente parte del tráfico que la máquina vulnerable maneja. Este ataque permite a un atacante ver las porciones de tráfico que un router o un cortafuego maneja en los segmentos de la red a los que el asaltante no tiene acceso por los medios estándares. Sin embargo, el atacante debe estar en la misma red Ethernet donde se encuentre la máquina vulnerable. Ethernet es el protocolo por el cual se comunican las computadoras en un entorno local de una red. Cada computadora utiliza una tarjeta (NIC, "Network Interface Card") para realizar la comunicación. Ethernet permite la transmisión de una sola señal a la vez (solo una computadora puede transmitir información a la vez y las demás deben esperar a que finalice la transmisión). Además, en situaciones normales, cuando una PC envía información, las otras reciben los mismos datos, pero solo la PC con una dirección de tarjeta específica (MAC), acepta dicha información y las restantes la descartan. La mayoría de los fabricantes de tarjetas mas conocidos, fueron notificados en su momento de estas fallas (junio del 2002), por el CERT (Coordination Center de la Carnegie Mellon University), organismo coordinador de incidentes y vulnerabilidades que involucren la seguridad en las computadoras. Una referencia de las actualizaciones disponibles, y más información sobre esta falla en la página del CERT. Se recomienda actualizar los drivers de Ethernet para las tarjetas usadas. Existe una referencia a las diferentes respuestas de los distintos vendedores en el sitio del CERT. Referencias: Vulnerability Note VU#412115 Network device drivers reuse old frame buffer data to pad packets http://www.kb.cert.org/vuls/id/412115 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com |
||
